Cyberangriffe als Kommunikationsangriffe

NIS2-Gesetz: Unternehmen im Krisencheck

Das NIS2-Gesetz soll Unternehmen resilienter gegen IT-Angriffe machen und vor Hackerangriffen schützen.
Bild: Clipdealer

Das NIS2-Gesetz soll Unternehmen resilienter gegen IT-Angriffe machen und vor Hackerangriffen schützen.
Bild: Clipdealer
Das neue NIS2-Gesetz, welches am 17. Oktober in Kraft tritt, gilt für rund 30.000 Unternehmen in Deutschland verpflichtend, die mehr als 50 Mitarbeiter und 10 Mio. € Jahresumsatz generieren sowie in kritischen Branchen agieren. Das Gesetz soll Firmen resilienter gegen IT-Angriffe machen und vor Hackerangriffen schützen. Laut der Agentur Scrivo Communications sollte jedoch jedes Unternehmen mit mehr als 10 Mitarbeitern das Gesetz als Ausgangspunkt nehmen, gleichzeitig mit der IT die Kommunikationsabläufe anzupassen und ebenfalls die Kommunikation bei IT-Ernstfällen auf den Prüfstand zu stellen.

„Jedes Unternehmen sollte einen NIS2-Check machen. Gerade mittelgroße Unternehmen mit 10 bis 50 Mitarbeitern, die knapp an den Anforderungen vorbeischrammen oder in einem anderen Sektor tätig sind, dürfen das Thema nicht abhaken, wenn der Check ergibt, dass sie nicht betroffen sind. Sie fallen dann zwar nicht unter das Gesetz. Vor Cyberangriffen und IT-Ausfällen gefeit sind sie dadurch jedoch nicht. Sie sollten ebenso ihre IT-Pflichten erfüllen und ihre Kommunikation für einen möglichen Ernstfall vorbereiten“, sagt Kai Oppel, Inhaber von Scrivo Communications.

Gesetzliche Meldepflicht an BSI

Lernen können Unternehmen aus den jüngsten Vorfällen um gehackte Unternehmen oder das missglückte Sicherheitsupdate und entsprechende Folgen, heißt es von Scrivo. Zusätzlich sollte Kommunikation nicht auf die gesetzlichen Vorgaben reduziert werden. Ein Beispiel ist die strenge Meldepflicht, die ein zentrales Element der Richtlinie und des Gesetzes ist. Das neue dreistufige Meldesystem für Cybersicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben. Die Erstmeldung muss binnen 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingereicht werden. Nach 72 Stunden muss ein Update erfolgen, um den gesetzlichen Vorgaben zu entsprechen.

„Unabhängig vom Gesetz lautet die Frage nicht, ob ein Unternehmen früher oder später Opfer eines Hackerangriffs wird, sondern wann. Unternehmen müssen sich vorbereiten und die Unternehmenskommunikation von Anbeginn in den Krisenstab einbinden. Im Schadenfall können sie schnell, transparent und klar nach Innen und Außen kommunizieren”, sagt Oppel. Krisensimulationen und -trainings sollen im Ernstfall helfen, ebenso wie Krisen-Playbooks und unternehmensweite Kommunikationsrichtlinien.

Vermeidbare Kommunikationsfehler

Im Einklang mit NIS2 nennt Scrivo fünf Problemfelder in der Kommunikation, die Unternehmen im Falle möglicher Cyberangriffe beachten sollten:

  1. Unterschätzung der Kommunikationsnotwendigkeit: Viele Unternehmen sehen Cybersicherheitsvorfälle hauptsächlich als technische Probleme. Scrivo warnt davor, dass ein IT-Vorfall erhebliche Auswirkungen auf das Vertrauen und die Wahrnehmung durch Kunden, Partner und die Öffentlichkeit haben kann.
  2. Planung der Krisenkommunikation: Es fehle oft an einer detaillierten Krisenkommunikationsstrategie. Diese muss klare Protokolle für die interne und externe Kommunikation im Falle eines Vorfalls enthalten. Ohne eine solche Planung wirken Unternehmen in der Krise unkoordiniert und unvorbereitet.
  3. Transparenz und Vertrauen: In einer Krise sei Transparenz entscheidend. Kunden und Partner erwarten schnelle und offene Kommunikation. Unternehmen, die nicht zeitnah und ehrlich informieren, riskieren einen Verlust des Vertrauens und langfristigen Reputationsschaden.
  4. Rechtliche und regulatorische Anforderungen: Neben der internen und externen Kommunikation gibt es oft gesetzliche Verpflichtungen zur Meldung von Vorfällen. Unternehmen müssen sicherstellen, dass sie diese Anforderungen erfüllen und gleichzeitig ihre Kommunikationsstrategie anpassen. Bei Nichteinhaltung drohen Sanktionen.
  5. Schulungen und Übungen: Viele Unternehmen versäumen es nach Bekunden von Scrivo, ihre Mitarbeiter auf Krisenszenarien vorzubereiten. Dabei helfen regelmäßige Schulungen und Übungen zur Krisenkommunikation, das Team auf einen echten Vorfall vorzubereiten und die Reaktionszeit zu verkürzen.

Thematisch passende Artikel:

GEFMA-Richtlinie 124-5

Empfehlungen zur Umsetzung der energetischen Inspektion von Klimaanlagen

Seit dem 1. November 2020 gilt das Gebäudeenergiegesetz. Mit dem neuen Gesetz werden europäische Vorgaben zur Gesamtenergieeffizienz von Gebäuden umgesetzt und die Regelung des...

mehr
Ausgabe 12/2013

Compliance wirkungsvoll kommunizieren und durchsetzen

Harald Talarczyk, Referent f?r Wirtschaft und ?ffentlichkeits?arbeit des BTGA

„Bestechend erfolgreich“. So und ähnlich lauten Schlagzeilen zu Bestechungs- und Betrugsfällen, die den guten Ruf einer Firma innerhalb kurzer Zeit massiv beschädigen können. Regel- und...

mehr

Resilienz Kritischer Infrastrukturen physisch stärken

Kritische Infrastrukturen (KRITIS) sind laut Definition Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung u. a....

mehr

Online-Fachseminar zu sicheren Zutrittslösungen

Verschiedene Objekte haben unterschiedliche Risiken und Gefährdungen. Sonderbauten wie z. B. öffentliche Gebäude bergen spezifische Herausforderungen. Hinzu kommen stets neue Sicherheitsansprüche,...

mehr
Ausgabe 06/2021

Jetzt pfeift’s im Unternehmen

EU-Whistleblower-Richtlinie und Compliance

Die Direktive sieht unter anderem vor, dass Unternehmen mit mehr als 50 Mitarbeitern ein Hinweisgebersystem installieren, über das Mitarbeiter und Dritte Missstände melden können. Für Unternehmen...

mehr